Para la Política de grupo de Windows, quizás todos estén usando más funciones en "Plantillas administrativas". Para la "estrategia de restricción de software" creo que no muchos amigos lo han usado.
Si la estrategia de restricción de software es buena, creo que se puede comparar con algún software HIPS. Si combina los permisos NTFS y los permisos de registro, puede implementar completamente la configuración de seguridad completa del sistema. Al mismo tiempo, debido a que esta es una función integrada del sistema, se integra perfectamente con el sistema y no ocupa recursos adicionales de CPU y memoria. El fenómeno de la incompatibilidad, ya que se encuentra en la parte inferior del sistema, su capacidad de intercepción no es comparable con otro software. El inconveniente es que su configuración no es flexible e inteligente, y no se lo preguntará al usuario. Echemos un vistazo completo a la estrategia de restricción de software.
Esta serie de artículos se centrará en los siguientes aspectos:
· Descripción general
· Reglas adicionales y niveles de seguridad
· Prioridad de la política de restricción de software
· Asignación y herencia de reglas
· Cómo escribir reglas
· Reglas de ejemplo
Hoy presentamos la asignación de derechos y la herencia de las reglas de restricción de software en la Política de grupo de Windows.
Una de las premisas de la explicación aquí es: Supongamos que su tipo de usuario es un administrador.
En ausencia de una política de restricción de software, si el programa a inicia el programa b, a es el padre de b, yb hereda la autoridad de a.
Ahora establezca a como usuario básico, b no limita (ponga b para que no esté restringido o no establezca el mismo efecto en b) y luego comience con b, entonces el permiso de b hereda de a, También es un usuario básico, a saber:
a (usuario básico) - > b (no restringido) = b (usuario básico)
Si b está configurado como usuario básico, a no limita, a a Después de iniciar b, b sigue siendo el derecho básico del usuario, es decir,
a (sin restricciones) - > b (usuario básico) = b (usuario básico)
se puede ver, un programa Los permisos finales que se pueden obtener dependen de: los permisos del proceso principal y el nivel mínimo de los permisos definidos por las reglas, que es lo que llamamos el principio de permisos mínimos.
Por ejemplo:
Si establecemos IE como un usuario básico Cuando se activa el nivel, los permisos de cualquier programa ejecutado por IE no serán superiores al nivel de usuario básico y solo podrán ser inferiores. Por lo tanto, puede lograr el efecto de prevenir el problema de la red: incluso si IE descarga el virus y lo ejecuta, el virus no puede realizar cambios dañinos en el sistema debido a las restricciones de permisos. Si lo reinicia, el virus solo tendrá el cuerpo muerto.
Incluso, también podemos hacer que IE no pueda descargar y ejecutar el virus a través de la configuración de permisos de NTFS, sin darle ninguna posibilidad al virus.
Aquí, echemos un vistazo a los permisos NTFS (los permisos aquí son permisos NTFS, independientemente de las reglas). Todos los permisos de NTFS son los siguientes:
Recorrer la carpeta /ejecutar el archivo (la carpeta de recorrido puede ignorarse, principalmente "ejecutar archivo", si no existe tal permiso, no se puede iniciar el archivo, que es equivalente a la aplicación en ejecución de AD)
Permitir O rechace una solicitud de que el usuario se desplace por toda la carpeta para llegar a otros archivos o carpetas, incluso si el usuario no tiene permiso para atravesar la carpeta (solo para carpetas).
Listar carpeta /Leer datos
Permitir o denegar a los usuarios la solicitud para ver los nombres de los archivos y los nombres de las subcarpetas en la carpeta especificada. Solo afecta el contenido de la carpeta, no si la lista para la cual estableció los permisos está en la lista (solo para carpetas).
Atributos de lectura
Capacidad para permitir o denegar la visualización de datos en un archivo (se aplica solo a los archivos).
Leer atributos ampliados
Permite o deniega solicitudes de los usuarios para ver atributos de archivos o carpetas, como de solo lectura y ocultos. El atributo está definido por NTFS.
Crear archivo /escribir datos
"Crear archivo" permite o deniega la creación de un archivo en una carpeta (solo para carpetas). Escribir datos permite o niega la capacidad de modificar archivos y sobrescribir contenido existente (se aplica solo a archivos).
Crear carpeta /Anexar datos
"Crear carpeta" permite o niega la solicitud del usuario para crear una carpeta en la carpeta especificada (solo para carpetas). Agregar datos permite o niega la posibilidad de realizar cambios en el final de un archivo sin cambiar, eliminar o sobrescribir datos existentes (solo archivos).
Atributos de escritura
Permitir o negar a los usuarios la capacidad de realizar cambios en el final de un archivo sin cambiar, eliminar o sobrescribir datos existentes (solo archivos). Operación de escritura.
Escribir atributos extendidos
Permitir o denegar a los usuarios las solicitudes para cambiar las propiedades de archivos o carpetas, como de solo lectura y ocultas. El atributo está definido por NTFS.
Eliminar subcarpetas y archivos
Permite o niega la capacidad de eliminar subcarpetas y archivos, incluso si no se asignan permisos de "eliminación" a subcarpetas o archivos (para carpetas).
Eliminar (la diferencia con lo anterior es que, además del subdirectorio y sus archivos, también incluye el directorio)
Permitir o negar a los usuarios la solicitud de eliminar subcarpetas y archivos, incluso subcarpetas o archivos No hay un permiso de "eliminación" asignado (para carpetas).
Permisos de lectura (vista de permisos NTFS)
Permite o deniega solicitudes de los usuarios para leer permisos de archivos o carpetas (como Control total, Lectura y Escritura).
Cambiar permisos (modificación de los permisos NTFS)
Permitir o negar a los usuarios la capacidad de cambiar los permisos de archivos o carpetas (como Control total, Lectura y Escritura).
Tomar posesión
Permitir o denegar la propiedad de un archivo o carpeta. El propietario de un archivo o carpeta siempre puede cambiar sus permisos independientemente de los permisos existentes utilizados para proteger el archivo o carpeta.
Bajo los permisos NTFS predeterminados del sistema, el usuario básico solo tiene que atravesar la carpeta /archivo de ejecución, listar la carpeta /leer el atributo, leer el atributo extendido y leer el derecho para el directorio windows \\ program files. Los permisos, para el directorio de documentos y configuraciones, solo tienen control total sobre todos sus directorios, ¿otros directorios son de solo lectura?
Los usuarios básicos y los usuarios restringidos mencionados en nuestras reglas son básicamente equivalentes al grupo de USUARIOS en permisos NTFS, pero los usuarios restringidos están sujetos a más restricciones, independientemente de los permisos NTFS, siempre están sujetos a Limitación
Ninguna conexión local o pérdida de conexión local es un tipo común de falla de la computadora. No h
Si su computadora está conectada a la red, también puede asignar una letra de unidad a la carpeta co
Si se está preparando para comprar una computadora, o ha comprado una computadora nueva, pero desea
Bajo el sistema WinXP, hay dos estilos del menú de inicio. El uso a largo plazo de un estilo de menú
7 problemas de seguridad presentados por la configuración predeterminada del sistema Win XP
Optimice su sistema informático para perder peso de 8 maneras (2)
¿Qué debo hacer si XP no se inicia después de actualizar a Vista?
¿Qué pasa si la LAN de la computadora XP no puede acceder a la carpeta compartida?
¿Se puede cancelar la firma del conductor?
El acceso es tan difícil? XP lo amable Muchos usuarios visitan Win7 XP
Windows XP sistema operativo 30 golpes habilidades de red
u sistema de montaje en disco y otros métodos de sistema instalados
Cómo WinXP usa Media Player para ver imágenes
WinXP no puede abrir el Centro de seguridad y la solución no está disponible
Windows XP no puede instalar fuentes resuelven
¿Debe costar la actualización del sistema? Enseñarle cómo actualizar de forma gratuita
¡El tiempo de arranque más rápido para Windows 7 es de solo 11 segundos!
Introducción de Win8 Computer SoftwareDistribution Folder
Cómo abrir y cerrar permisos de lectura y escritura de archivos FSO en Windows
Enseñar win7 para desactivar la animación de arranque, un gran aumento
Deje que el sistema Windows XP se active de una vez por todas
Win7 32 bits de la capacidad de memoria 4G
Sugerencias de Windows 7 para activar o desactivar el firewall
Resolver el disco U "No se puede detener el dispositivo de volumen universal"